Informasjonssikkerhet og personvern
Hvilket ansvar har institusjonene for informasjonssikkerhet og personvern? Hva bør du tenke på når du skal samarbeide digitalt med partnere i utlandet?
Sist oppdatert : 15. april 2024Informasjon behandles i et samspill mellom mennesker, prosesser og teknologi. Informasjonssikkerhet handler om å sikre denne informasjonsbehandlingen og dermed verdiene som informasjon representerer. Det er ledelsen ved den enkelte virksomhet som har ansvaret for å etablere og opprettholde tilfredsstillende informasjonssikkerhet.
Kunnskapsdepartementet (KD) sin Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning oppsummerer de viktigste rettslige kravene og nasjonale føringene på informasjonssikkerhetsområdet, med standard for personvern.
Policyen retter seg mot institusjonene underlagt KDs styringsmodell for informasjonssikkerhet og personvern, og stiller følgende krav:
- Innføre et ledelsessystem for informasjonssikkerhet.
- Ha oversikt over informasjonsverdier.
- Gjennomføre risikovurderinger og etablere sikringstiltak.
- Etablere løsninger for hendelseshåndtering, kontinuitet og lukking av avvik.
- Sørge for kontroll med tjenesteleverandører.
- Ha internkontroll for behandling av personopplysninger.
- Ivareta de registrertes rettigheter.
- Utnevne personvernombud.
- Gjennomføre vurderinger av personvernkonsekvenser.
- Sørge for innebygd personvern og informasjonssikkerhet.
- Sørge for opplæring og kompetanseheving.
- Dokumentere arbeidet med informasjonssikkerhet og personvern.
Kravene for informasjonssikkerhet og personvern oppsummeres i KDs styringsdokument slik:
KDs underliggende virksomheter skal:
- Følge gjeldende regelverk, inkludert forvaltningsloven med e-forvaltningsforskriften, offentlighetsloven med forskrifter, sikkerhetsloven med forskrifter, personopplysningsloven med forskrifter, helseregisterloven med forskrifter, ekomloven med forskrifter, esignaturloven med forskrifter og reglement for økonomistyring i staten
KDs underliggende virksomheter som er omfattet av KDs styringsmodell for informasjonssikkerhet og personvern i høyere utdanning og forskning skal:
- Følge kravene i rundskriv F-04-20 Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning.
KDs underliggende virksomheter skal/andre virksomheter i sektoren bør:
- Etablere et helhetlig ledelsessystem for informasjonssikkerhet.
Hva er trusselbildet og hva må man ha i bakhodet i internasjonalt samarbeid?
Det er stadig flere norske virksomheter i offentlig og privat sektor som er blitt utsatt for tilsiktede digitale angrep og det registreres stadig flere alvorlige digitale sikkerhetshendelser. NSM peker på at statlige eller statsstøttede trusselaktører står bak flere av hendelsene.
Det pekes også på en risiko for sikkerhetshendelser utenfor det digitale rom. PST har i flere år sett at sektoren kan utnyttes av fremmede stater for å kartlegge potensielle kilder. Kildene kan både være norske forskere involvert i utenlandske samarbeid, eller overvåking og påvirkning av egne borgere som studerer, er gjesteforelesere eller samarbeider med norske institusjoner i Norge. Denne formen for kartlegging foregår gjerne over noe tid med mål om relasjonsbygging som kan føre til tilgang til sensitiv informasjon. En annen potensiell trussel er fordekte anskaffelser og illegal kunnskapsoverføring. Fordekte anskaffelser er anskaffelse av varer og teknologi samt forsøk på ulovlig kunnskapsoverføring. Hensikten vil være å omgå sanksjonsregimer og eksportkontrollregelverket. Trusselbildet gjelder ikke bare i det digitale rom, men kan altså også gå på personer og fysiske anskaffelser.
EOS-tjenestene (NSM, PST og E-tjenesten) fremhever i sine risiko- og trusselvurderinger at trusselbildet i Norge er skjerpet og peker på flere konkrete områder innen forskning og utvikling som kan være særlig utsatt for digitale angrep og kunnskapsspionasje.
Land som Norge ikke har et sikkerhetssamarbeid med trekkes særlig frem som en tilstedeværende trussel. Dette betyr ikke at samarbeid med såkalte tredjeland ikke er mulig, men det kreves grundig planlegging og sikkerhetsvurderinger før inngåelse av internasjonalt samarbeid med slike land. Informasjonssikkerhet og personvern er områder som må vies oppmerksomhet i planleggingsfasen.
Hva er personopplysninger?
Personopplysninger er informasjon som kan knyttes til en persons identitet. Dette er informasjon som navn, adresse, kontaktinformasjon, bilder og personnummer. I tillegg kommer sensitive personopplysninger. Merk at også pseudonymisering og anonymisering av personopplysninger defineres som personopplysninger.
Alle personopplysninger skal behandles etter de grunnleggende personvernprinsippene som følger av EUs personvernforordning og personopplysningsloven. KDs styringsmodell har innebygd personvern og personvern som standard. Virksomheter underlagt KD skal følge policyen og vil dermed også ha personvern som standard.
Prinsippene for personvern er:
- Behandlingen av personopplysninger skal være lovlig, som betyr at minst ett av vilkårene i artikkel 6 må være oppfylt for å kunne behandle personopplysninger.
- Behandlingen skal være formålsbegrenset. Altså innsamlet for spesifikke, uttrykkelig angitte og berettigete formål, og informasjonen skal ikke behandles videre på en måte som er uforenelig med disse prinsippene.
- Dataminimering skal alltid praktiseres. Innsamlede opplysninger skal være adekvat, relevante og begrenset til det som er nødvendig for behandlingsformål.
- Innsamlede opplysninger skal til enhver tid være korrekte og nødvendig oppdatert. Rimelig tiltak skal være på plass og sørge for at uriktige opplysninger med hensyn til formålene de behandles for, uten opphold slettes eller rettes.
- Det skal praktiseres lagringsbegrensning. Det vil si at lagring skjer på en måte som gjør at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene personopplysningene behandles for. Skal opplysningen lagres i lengre perioder må det være utelukkende for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning, eller for statistiske formål, forutsatt at det gjennomføres egnede tekniske og organisatoriske tiltak som kreves for å sike de registrertes rettigheter og friheter.
- Opplysningen skal behandles med integritet og konfidensialitet, og tilstrekkelig sikkerhet. Herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade. Dette sikres gjennom egnede tekniske og organisatoriske tiltak.
Disse prinsippene gjelder alle personopplysninger, i tillegg er det noen ekstra hensyn som må tas hva gjelder sensitive eller særlige kategorier av personopplysninger.
Hva regnes som sensitive personopplysninger?
Noen personopplysninger kategoriseres som sensitive opplysninger, som det knyttes særlige regler for behandling til. Dette gjelder opplysninger om:
- En persons etniske opprinnelse
- Politisk oppfatning
- Religion
- Filosofiske overbevisning
- Fagforeningsmedlemskap
- Genetiske og biometriske opplysninger
- Helseopplysninger
- Opplysninger om seksuelle forhold eller legning.
Det er i utgangspunktet forbudt å behandle disse, så fremt det ikke foreligger et særskilt grunnlag i tillegg til behandlingsgrunnlag i lovhjemmel, databehandleravtale eller gjennom samtykke. Det særlige grunnlaget, eller unntakene, kommer med forbehold. Virksomheter må sette seg inn i forordningsteksten før de setter i gang med behandling av sensitive personopplysninger. Vi viser til personvernforordningen for full tekst, samt Datatilsynets sider om dette.
Hva er behandling av personopplysninger?
Behandling av personopplysninger er all bruk av personopplysninger. Dette vil si innsamling, registrering, sammenstilling, lagring og utlevering av personopplysninger, eller en kombinasjon av dette.
For å kunne behandle personopplysninger må man ha et rettslig grunnlag. Dette får man gjennom lovhjemmel, samtykke eller databehandleravtale, se artikkel 6 i personvernforordningen. For behandling av sensitive personopplysninger, se artikkel 9.
Gjennom å etabler gode dokumenterte avtaler, som har innebygd personvern og personvern som standard i tråd med lov og KDs policy for informasjonssikkerhet og personvern, vil man kunne opprette og videreutvikle trygge samarbeid innenfor akademia i utlandet.
Hvem er behandlingsansvarlige?
Behandlingsansvarlige er de eller den som forvalter personopplysningene, uansett størrelse. Behandlingsansvarlig må sørge for at de tekniske løsningene, programmene, appene, infrastrukturen eller algoritmene har personvern innebygd i behandlingen.
Dette gjelder også bruk av produkter og tjenester fra en tredjepart. Her må behandlingsansvarlig stille krav om, gjøre en vurdering av og forvisse seg om at tredjeparts databehandlere oppfyller kravene om innebygd personvern.
Hvilke verdier omfattes av informasjonssikkerhet og personvern?
Informasjonssikkerhet verner ulike sett med verdier. Verdiene omfatter de digitale systemer eller tjenester hvor informasjon og personopplysninger behandles, dataflyt mellom systemene eller tjenestene og hvem som har tilgang til dem. Det omfatter også systemer eller tjenester levert av eksterne tjenesteleverandører, som skytjenester.
Verdiene er ikke kun i det digitale domenet eller lagret informasjon i ulike databaser, det omfatter også eiendom, fysisk infrastruktur, IT-ressurser og digital infrastruktur. Rapporten Informasjonssikkerhet og personvern i høyere utdanning (2022) peker på 10 hovedtyper informasjonsverdier i UH-sektoren. Dette omfatter:
- Studentadministrasjon som behandler personopplysninger og informasjon om tilrettelegging
- Informasjon knyttet til undervisningsplaner, vurderingsformer og eksamensresultater
- Forskningsdata, prosjektplanlegging og patenter
- Oversikt over tilsatte og ledere
- Økonomi og regnskap
- Systemer for virksomhetsstyring- og strategi
- Informasjon om eiendom og fysisk infrastruktur
- IT ressurser og digital infrastruktur
- Media og kommunikasjon
- Informasjon om alumni
Personopplysninger og særlige kategorier av personopplysninger er spesielt sentrale verdier.
Informasjonssikkerhet og personvern omfatter et vidt spekter av verdier med ulik karakter, som alle har betydning for virksomhet eller samarbeid i ulik grad. Informasjonsverdiene kan også ha stor betydning for eksterne interessenter som deltakere i forskningsprosjekter, finansiører, samarbeidspartnere og offentlige myndigheter. Derfor må man gjennomføre en verdivurdering og en verdikjedevurdering av det man skal benytte, slik at man kan etabler en god sikkerhetsstyring for prosjektet. Verdier og verdikjeder i et samarbeid kan være forskningsdata, digital infrastruktur og informasjon som deltagere og involverte forskere.
Hva må man tenke på ved valg av digital plattform for samarbeid?
Felles digitale plattformer er nødvendige for å kommunisere og samhandle ved oppstart og underveis i et prosjekt. Plattformen benyttes til lagring av prosjektdokumentasjon og til gjennomføring og dokumentasjon av prosjektmøter. Som behandlingsansvarlig er man også ansvarlig for at databehandler, produkter og tjenester fra tredjeparter ivaretar kravene om innebygd personvern og informasjonssikkerhet.
Ved valg av digital plattform bør man i forkant av prosjektet inkludere en oversikt over alle digitale plattformer som skal benyttes i samarbeidsavtalen. Det skal også dokumenteres hvilke personopplysninger som skal behandles og eventuelt lagres, samt hvordan dette gjøres, med korrekte samtykker. Det skal også være en personvernerklæring på plattformen
Dersom det skal benyttes plattformer fra tredjeland må man sørge for dokumentasjon på hvilke personopplysninger som behandles og hvordan de lagres og forvaltes. Dette må tilfredsstille krav til gjeldene lovverk i Norge og EU. Man må vite hvilke systemer det er, hvordan de forvaltes, hvilke sikringstiltak de innehar og hvem som har tilgang. Prosedyrer for oppdatering eller sletting av informasjon må også være etablert og kjent.
Dele informasjon og tilganger med samarbeidspartnere
Jeg skal dele informasjon med samarbeidspartnere eller gi dem tilgang til institusjonens systemer, hva må jeg tenke på?
Hvem skal ha tilgang, hvordan og hvorfor er de sentrale spørsmålene som må besvares før man deler informasjonsverdier med eksterne. De eksterne er her særlig gjesteforskere, gjesteforelesere eller andre samarbeidspartnere fra utenlandske institusjoner fra tredjeland.
Gjennom regelmessig verdikartlegging fra oppstart av et internasjonalt samarbeidsprosjekt, eller i forkant av mottak av en utenlandsk gjesteforsker, vil man ha oversikt over hva man har og hvor det er lagret.
Etablerte prosedyrer for tilgangsstyring må være på plass og revideres jevnlig, med sikkerhetsventiler for enkel fjerning av tilgang ved samarbeidets avslutning. I tillegg bør gjeldene prosedyrer for bakgrunnssjekk av samarbeidspartnere eller gjesteforskere fra land som kan utgjøre en sikkerhetsrisiko, eller i stillinger med store fullmakter innen økonomiområdet, oppdateres i tråd med verdivurderinger.
Utveksle personopplysninger og GDPR
Hva må man tenke på når man skal utveksle personopplysninger og må jeg forholde meg til GDPR?
Forsker- og studentmobilitet medfører ofte behov for utveksling av personopplysninger. I mange tilfeller vil utvekslende virksomheter ha tilgang til samme Learning Management System, som Canvas, noe som muliggjør sikker behandling av slik informasjon.
I situasjoner der dette ikke er tilfelle, hvor virksomhetene ikke har samme systemer eller i Scholar-at-risk- ordningen, må man vurdere om utvekslingen av personopplysninger er tilstrekkelig sikret. Man kan vurdere å benytte Sikt sin webapplikasjon som kan benyttes av norske utdanningsinstitusjoner for sikker utveksling av personopplysninger: Nomination - Felles studentsystem, eller Universitetet i Oslo sin tjeneste Nettskjema, for sikker overføring av personopplysninger.
Man må også vurdere hvilke personopplysninger som deles, i hvilke kanaler og hvem som har tilgang til disse.
Fører GDPR bare med seg begrensninger, eller er det muligheter som gjør samarbeidsprosjektene mine lettere og sikrere?
Noen kan nok tenke at GDPR er vanskelig å forholde seg til og at det er et sett med lover og regler som legger store begrensinger på samarbeid. Ved å benytte seg av de mulighetene og føringen GDPR regelverket gir, vil man sikre at samarbeid kan gjennomføres på en tryggere og kontrollert måte ved at man ivaretar de plikter og prinsipper man må følge, er bevisst på hva som kan deles eller ikke og hvordan man kan dele informasjon. Dette åpner et mulighetsrom for fruktbare akademiske samarbeid, der man har kontroll på informasjonsflyt, er bevisst på de utfordringer og ikke minst mulighetene man har.
Risikoland
Flere av trusselvurderingene fra EOS-tjenestene peker på noen spesifikke risikoland. Betyr dette at jeg ikke kan samarbeide med forskere og studenter fra disse landene?
Det stemmer at flere av de åpne trusselvurderingene peker ut en rekke land som Norge ikke har sikkerhetssamarbeid med, eksempelvis Kina, Russland og Iran, som de største potensielle trusselaktørene mot norske virksomheter. Det betyr ikke at det er umulig å etablere gode akademiske samarbeid med virksomheter eller personer fra disse landene. I slike samarbeid er det særlig viktig å etablere gode samarbeidsavtaler som sikrer god planlegging med tanke på informasjonssikkerhet og personvern. Sikkerheten styrkes ved å gjennomføre gode verdikjedeanalyser og risikovurderinger før samarbeidet opprettes. Rammeverket for samarbeidet bør revideres ved behov. Med sikkerhet som forutsetning for internasjonale samarbeid, er det mulig å gjennomføre gode akademiske samarbeid.
Relevante myndigheter og ressurser å kontakte
Datatilsynet er både tilsyn og ombud. Deres oppgave er å føre kontroll med at personvernregelverket etterleves, og medvirke til at enkeltpersoner ikke blir krenket gjennom bruk av opplysninger som kan knyttes til dem.
Nasjonal sikkerhetsmyndighet (NSM) er Norges direktorat for forebyggende nasjonal sikkerhet. Direktoratet gir råd om og gjennomfører tilsyn og andre kontrollaktiviteter på sivil og militær side knyttet til sikring av informasjon, systemer, objekter og infrastruktur av nasjonal betydning. NSM har også et nasjonalt ansvar for å avdekke, varsle og koordinere håndtering av alvorlige IKT-angrep.
Politiets Sikkerhetstjeneste (PST) er Norges nasjonale innenlands etterretnings- og sikkerhetstjeneste, underlagt justis- og beredskapsministeren. PST har som oppgave å forebygge og etterforske alvorlig kriminalitet mot nasjonens sikkerhet. PST samler inn informasjon om personer og grupper som kan utgjøre en trussel, utarbeider analyser og trusselvurderinger, samt gir råd.
Sikt er kunnskapssektorens tjenesteleverandør. De utvikler, anskaffer og leverer produkter og tjenester til utdanning og forskning. De tilbyr kunnskapssektoren infrastruktur, data og fellestjenester som gir gode brukeropplevelser og oppfyller de overordnete mål om digitalisering, datadeling og åpen forskning. I tillegg har ansvaret for rollen som sektorvis responsmiljø (SRM) tilknyttet IKT-hendelser for høyere utdannings- og forskingssektoren. Se også Cybersikkerhetssenter for forskning og utdanning (sikt.no)
Ordliste
Ordliste om informasjonssikkerhet og personvern
Hybride/sammensatte trusler
I Meld.St. 9 (2022-2023) Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet. Så åpent som mulig, så sikkert som nødvendig, beskrives sammensatte trusler som «en betegnelse på strategier for konkurranse og konfrontasjon under terskelen for direkte væpnet konflikt, som kan kombinere diplomatiske, informasjonsmessige, militære, økonomiske, finansielle, etterretningsmessige og juridiske virkemidler for å nå strategiske målsettinger. Sammensatte trusler kan forekomme i sikkerhetspolitiske gråsoner, der formålet er å skape splid og destabilisering. Virkemiddelbruken kan være bredt distribuert og kombinere åpne, fordekte og skjulte metoder. Virkemiddelbruken kan være rettet mot konkrete aktiviteter eller situasjoner, eller være innrettet mer langsiktig for å skape tvil, undergrave tillit og ved dette svekke våre demokratiske verdier. Sammensatte trusler er i sin natur komplekse og utfordrer tidlig varsling, omforent situasjonsforståelse samt effektiv og samordnet håndtering».
Kunnskapssikkerhet
Kunnskapssikkerhet referer til å forhindre uønsket overføring av sensitiv kunnskap og teknologi med negative følger for nasjonal sikkerhet og innovasjonsevne. Begrepet dekker aktiviteter rettet mot å påvirke og forstyrre aktiviteter på vegne av utenlandske statlige aktører innenfor høyere utdanning og forskning. Slike aktiviteter kan føre til sensur og svekke akademisk frihet. Kunnskapssikkerhet dekker også etiske problemstillinger knyttet til samarbeid med land der grunnleggende rettigheter ikke respekteres.
Land av bekymring
Land av bekymring referer til land som pekes ut i de årlige nasjonale risiko- og trusselvurderingene til E- tjenesten, PST og NSM som høyrisikoland.
Nasjonal sikkerhet
Nasjonal sikkerhet er statssikkerhet og en avgrenset del av samfunnssikkerhetsområdet, som er av vesentlig betydning for statens evne til å ivareta nasjonale sikkerhetsinteresser.
Nasjonale sikkerhetsinteresser
Nasjonale sikkerhetsinteresser er landets suverenitet, territorielle integritet og demokratiske styreform og overordnede sikkerhetspolitiske interesser knyttet til; (a) de øverste statsorganers virksomhet, sikkerhet og handlefrihet, (b) forsvar, sikkerhet og beredskap, (c) forholdet til andre stater og internasjonale organisasjoner, (d) økonomisk stabilitet og handlefrihet, og (e) samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet.
Samfunnssikkerhet
Samfunnssikkerhet er samfunnets evne til å verne seg mot og håndtere hendelser som truer grunnleggende verdier og funksjoner og setter liv og helse i fare. Slike hendelser kan være utløst av naturen, være utslag av tekniske eller menneskelige feil eller bevisste handlinger.
Statssikkerhet
Statssikkerhet er ivaretagelse av statens eksistens, suverenitet, territorielle integritet og politiske handlefrihet. Statssikkerhet har tradisjonelt vært knyttet til forsvaret av territoriet mot væpnede angrep, men den kan også utfordres ved påvirkning med ulike former for pressmidler mot norske myndigheter og samfunnsaktører.
Sårbarhetsvurdering
Sårbarhetsvurdering beskriver hvor sårbare verdiene er i lys av identifiserte trusler og danner grunnlag for forebyggende og konsekvensreduserende mottiltak.
Verdier
Verdier brukes til å, på den ene siden, referere til normer og prinsipper, som akademisk frihet. På den andre siden brukes begrepet «verdier» i sammenheng med verdivurdering og risikoanalyse. Her referer verdier til alt som er beskyttelsesverdig og kan trues, for eksempel liv og helse, informasjon, materielle verdier og omdømme.
Verdivurdering
Verdivurdering er en analyse for å identifisere hvilken informasjon, hvilke objekter og andre verdier (for eksempel liv og helse, omdømme o.a.) som er så viktige at de må skjermes eller beskyttes. Verdivurdering danner utgangspunkt for identifisering av trusler som er relevante for virksomheten med hensyn til hvordan trusselaktører kan påvirke verdiene i virksomheten.